
Web3ウォレットの製品マネージャーの視点から、Bybitの盗難事件について詳しく語る
TechFlow厳選深潮セレクト

Web3ウォレットの製品マネージャーの視点から、Bybitの盗難事件について詳しく語る
信じられるのは技術だけであり、「人」や「プラットフォーム」ではない。
著者:岳小魚
1、まず平易な言葉でBybitがどのように盗難されたかを説明します:
BybitはSafeのマルチシグウォレットを使用しており、署名設定は3/3です。つまり、取引を完了するには3人の署名が必要で、各署名者はハードウェアウォレットを利用しています。
Safeのような老舗マルチシグスマートコントラクトは長年にわたり検証されており、自体に問題はありません。さらに署名者がハードウェアウォレットを使用しているため、秘密鍵は物理的に隔離され、ネットに接続されていません。
マルチシグウォレット+ハードウォレットは、現時点で最も安全なウォレット手段と言えます。
それなのに、なぜ盗まれたのでしょうか?
ハッカーはソーシャルエンジニアリング攻撃を用いました。
技術的には直接突破できないため、「人」を直接攻撃したのです。
ハッカーはまず3人の署名者のコンピュータに侵入し、彼らが日常的な操作(例えば送金署名)を行う際に、こっそりと署名内容をすり替えました。
署名者は自分が通常の取引に署名していると思い込んでいましたが、実際にはハッカーが内容を「悪意のある署名」に差し替えていたのです。例えば、Safeコントラクトを事前に用意した悪意のあるコントラクトにアップグレードするものでした。
3人の署名者は気づかぬうちに署名し、その結果、ハッカーはこの悪意のあるコントラクトを使ってすべての資金を引き出しました。
2、ソーシャルエンジニアリング攻撃とはそもそも何か?
ソーシャルエンジニアリング攻撃は、攻撃コストが非常に高く、手法も極めて複雑ですが、非常に効果的な攻撃方法です。
今回の事件では、取引所側がすでに最高レベルのセキュリティ対策を講じており、マルチシグスマートコントラクトやハードウォレットデバイス、さらにオフラインでの厳密な組織体制まで整えていましたが、それでもこのソーシャルエンジニアリング攻撃を防げませんでした。
ハッカーはマルチシグの署名者数名を特定し、署名者のコンピュータに侵入することが突破口としてより簡単だったのです。
従業員のコンピュータへの侵入はどのように行われるのでしょうか?
具体的な手段にはフィッシングメールの送信、マルウェアのインストール、または署名者の個人的なセキュリティ習慣の脆弱性(弱いパスワードの使用、二段階認証の未導入など)の悪用が含まれます。
一度コンピュータが乗っ取られると、ハッカーはスタッフの端末を掌握し、任意の情報を改ざんできます。
ソーシャルエンジニアリング攻撃は極めて隠蔽性が高く、署名者は自分の日常業務を正常に終えたと思っているかもしれませんが、システムログには「コントラクトのアップグレード」といった合法的な操作として記録され、明らかな「資金移動」ではなく見えます。
資金が引き出されてからBybitが気付いた時には、もう手遅れでした。
もちろん、ソーシャルエンジニアリング攻撃は完全に防ぎきれないわけではありません。厳密な対策と長期的な防御体制が必要です。
最も良い対策は、企業内部の関連機器および人員の行動異常に対して強力な管理を行うことであり、専用機器の分離利用、機器のホワイトリスト化と監視、定期的な点検・更新などを徹底することです。
3、Bybitの盗難後、今後どうなるのか?
第一に、Bybitがユーザーからの出金集中(ラン)を耐えられるかどうか。もしBybitがこれに耐え切れなければ、また一つFTXのような存在となり、さらには業界全体を新一輪の下落相場へと引きずり込む可能性がある。
第二に、Bybitが盗難資金の補償能力を持っているか。補償できなければ破産宣告となり、やはり業界を下落相場へと陥れる可能性がある。
では、現在のBybitの財務状況はどうなのか?
Bybitは世界第2位の暗号資産取引所であり、日次の取引高は360億ドルに達し、ユーザー数は6,000万人を超えています。これほどの規模を持つため、収益力も当然高いです。
業界内では一般的に、Bybitのようなトップクラスの取引所は手数料、レバレッジ取引の金利、金融商品の分配金などで利益を得ており、年間純利益はおよそ15億~50億ドルの間で推移すると見積もられています。
次にBybitの資産規模を見てみましょう。盗難前の総準備資産は160億ドル以上とされています。
こう比較すると、15億ドルの穴は総資産の10%未満であり、致命傷とは言えません。
またBybitのCEOであるBen Zhou氏は公に、「顧客資産は1:1で裏付けられている」と述べており、つまりユーザーの資金は保障されており、盗難による資金不足は主に会社自身の利益と準備資産で賄われることになります。
まとめると、以下の3つのシナリオに分けられます:
最善のケース:出金集中が落ち着き、Bybitが融資や自己資産で残りの穴を埋め、半年以内に回復。市場の信頼感が回復し、業界は再び上昇基調に入る。
中間ケース:出金集中がしばらく続くが暴走せず、Bybitは経費削減でやり過ごし、数年間利益を抑えながら少しずつ穴を埋める。業界は多少影響を受けるが、ETHやアルトコインが調整する程度で、下落相場までは至らない。
最悪のケース:出金集中が暴走し、Bybitが破綻。15億ドルの穴が信用危機を引き起こし、業界全体が打撃を受け、下落相場が早まる。
4、一般ユーザーにとっての教訓とは何か?
多くの人が言う「初心者ユーザーは秘密鍵を自分で管理しないほうが安全で、むしろ取引所に資金を預けるほうが安全だ」という主張があります。
しかし、繰り返される取引所の盗難事件は、まさにこの主張に対する強い反論です。
取引所の技術力や安全性を過信してはいけません。実は取引所には非常に大きな潜在的リスクがあります。
なぜ取引所のリスクがより大きいと言えるのでしょうか?
このような中央集権型プラットフォームの最大のリスクは、すべてのユーザー資産が一カ所に集中しているため、攻撃者にとって大きな標的になってしまうことです。
世の中には絶対に安全なシステムなど存在しません。どんなシステムもいずれは突破される可能性がありますが、攻撃にはコストがかかります。そのため、攻撃対象の価値がどれだけ大きいかが重要になります。
攻撃による利益が十分に大きければ、攻撃手段やコストも拡大されます。
取引所は明らかに大きな標的であり、取引所のウォレットアドレスは基本的に公開されており、資金の流れも可視化されているため、十分なリソースを投入すれば、いつかは突破される日が来るのです。
私たちが唯一信じられるのは「技術」であり、「人」や「プラットフォーム」ではありません。
だからこそ、一般ユーザーにはできる限り非中央集権型ウォレットを使い、自分で秘密鍵を管理するか、さらに進んでノンキーウォレットを使うことを呼びかけます。
Web3の世界は暗黒森林であり、私たちは同時に狩人でもあり獲物でもある。一歩一歩慎重に進むことこそ、より長く生き残り、より遠くへ行く唯一の道です。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News














